预编译SQL:防止SQL注入

于 2025-07-19 12:15:38 发布
阅读量845 收藏 20
点赞数 24
CC 4.0 BY-SA版权
分类专栏: Web开发 文章标签: sql 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86968005/article/details/149462820

预编译SQL:防止SQL注入

静态SQL:看似简单,暗藏风险

静态SQL的定义与执行方式

  1. 定义:静态SQL指的是在编写SQL语句时,直接将参数值硬编码在语句之中。例如,当我们想要查询名为“zhangsan”的用户信息时,会写出这样的SQL语句:SELECT * FROM user WHERE username = 'zhangsan'。这种方式直接将参数值嵌入到SQL语句的文本中,缺乏灵活性。
  2. 执行方式:在Java中,通常借助 Statement 对象来执行静态SQL语句。以下是示例代码:
String username = "zhangsan";
String password = "123456";
// 字符串拼接SQL(静态SQL)
String sql = "SELECT * FROM user WHERE username = '" + username + "' AND password = '" + password + "'";
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(sql); // 执行静态SQL

在这段代码中,我们通过字符串拼接的方式构建了静态SQL语句,并使用 Statement 对象的 executeQuery() 方法来执行该查询。

静态SQL的局限性(安全隐患与性能问题)

  1. 安全隐患(SQL注入):静态SQL存在严重的安全隐患,其中最突出的就是SQL注入问题。黑客可以利用输入特殊字符串的方式来恶意修改SQL语句的结构。例如,当用户输入 username = 'zhangsan' OR '1'='1' 时,经过字符串拼接后,原本的SQL语句就会变为 SELECT * FROM user WHERE username = 'zhangsan' OR '1'='1' AND password = '...'。由于 '1'='1' 这个条件永远为真,黑客就可以在无需正确密码的情况下查询出所有用户的数据,从而导致数据泄露等严重后果。
  2. 性能低下:从性能角度来看,静态SQL的表现也不尽如人意。每当执行相同结构但参数值不同的SQL语句时,数据库都需要重新对SQL语句进行解析、优化以及编译。这意味着在实际应用中,如果需要频繁查询不同用户的信息,数据库将反复进行这些操作,大量消耗系统资源,导致性能低下。

预编译SQL:安全与性能的“双重保障”

预编译SQL的定义与核心特征(占位符?

  1. 定义:预编译SQL是一种使用 ? 作为参数占位符的SQL语句。例如:SELECT * FROM user WHERE username =? AND password =?。这种方式将SQL语句的结构与参数值进行了分离,参数值不再直接嵌入到SQL语句的文本中,而是在执行时动态设置。
  2. 核心特征:预编译SQL的核心特征在于其SQL结构固定不变,参数与语句实现了分离,并通过 PreparedStatement 对象来执行。这种设计使得SQL语句在预编译阶段就完成了语法检查和编译,后续只需传入不同的参数值即可执行,大大提高了执行效率和安全性。

预编译SQL的执行流程(获取对象→设置参数→执行)

  1. 获取 PreparedStatement 对象:首先,我们需要将带有占位符的SQL语句传入 Connection 对象的 prepareStatement() 方法,以获取 PreparedStatement 对象。在这一步骤中,数据库会提前对SQL语句进行语法解析和编译,也就是所谓的预编译。示例代码如下:
String sql = "SELECT * FROM user WHERE username =? AND password =?"; // 带占位符
PreparedStatement pstmt = conn.prepareStatement(sql); // 预编译SQL
  1. 为占位符设置参数:接下来,通过 PreparedStatement 对象的 setXxx(索引, 值) 方法为占位符赋值。其中,索引从1开始,并且方法中的数据类型要与参数实际的数据类型相匹配。例如:
pstmt.setString(1, "zhangsan"); // 第一个?赋值为用户名
pstmt.setString(2, "123456");   // 第二个?赋值为密码
  1. 执行SQL:完成参数设置后,直接调用 executeQuery()(用于执行查询语句,即DQL)或 executeUpdate()(用于执行插入、更新、删除语句,即DML)方法来执行SQL语句,无需再次传入SQL语句。例如:
ResultSet rs = pstmt.executeQuery(); // 执行预编译SQL

预编译SQL的核心优势深度解析

优势一:彻底防御SQL注入攻击(原理与案例)

  1. SQL注入原理:SQL注入攻击的原理是黑客通过输入特殊字符串,如 ' OR '1'='1,来改变原有SQL语句的逻辑结构。以登录查询为例,原本的查询条件是基于正确的用户名和密码进行匹配,但通过注入特殊字符串,黑客可以使查询条件变为恒真,从而绕过密码验证,获取所有用户数据。
  2. 预编译防御机制:预编译SQL之所以能够有效防御SQL注入攻击,是因为它将参数值作为“纯数据”进行处理,不会对参数中的SQL关键字(如 OR= 等)进行解析。即使黑客输入了 ' OR '1'='1 这样的特殊字符串,预编译SQL也会将其当作普通字符串处理,而不会改变SQL语句原本的结构。以下是示例对比:
    • 静态SQL拼接后SELECT * FROM user WHERE username = '' OR '1'='1' AND password = '123456',此时注入成功,黑客可以获取所有数据。
    • 预编译SQL执行时SELECT * FROM user WHERE username = '' OR '1'='1' AND password = '123456' 中的参数被视为普通字符串,查询条件实际上变成了“用户名等于 ' OR '1'='1”,显然无匹配结果,注入失败。

优势二:显著提升查询性能(执行流程对比)

  1. 静态SQL执行流程:静态SQL每次执行时,都需要经历“语法解析→优化→编译→执行”这一系列完整的步骤。这意味着每当参数值发生变化,即使SQL语句的结构相同,数据库也需要重复进行这些操作,消耗大量的时间和资源。
  2. 预编译SQL执行流程:预编译SQL在第一次执行时,同样会进行“解析→优化→编译”,但之后会将编译结果进行缓存。当后续再次执行相同结构的SQL语句时,直接使用缓存中的编译结果,无需再次进行编译,大大节省了时间和资源。例如,在循环查询1000个不同用户的信息时:
    • 静态SQL:需要进行1000次编译,随着数据量的增加,耗时会越来越长。
    • 预编译SQL:仅需1次编译,然后进行1000次执行,耗时显著减少,尤其在数据量较大的情况下,性能优势更为明显。

预编译SQL实战示例与最佳实践

完整实战代码(用户登录查询)

import java.sql.*;

public class PreparedStatementDemo {
    public static void main(String[] args) {
        String url = "jdbc:mysql://localhost:3306/web01?useSSL=false&serverTimezone=UTC";
        String username = "root";
        String password = "123456";
        String sql = "SELECT * FROM user WHERE username =? AND password =?";

        try (Connection conn = DriverManager.getConnection(url, username, password);
             PreparedStatement pstmt = conn.prepareStatement(sql)) {

            // 设置参数(模拟用户输入)
            pstmt.setString(1, "daqiao");
            pstmt.setString(2, "123456");

            // 执行查询
            ResultSet rs = pstmt.executeQuery();

            // 处理结果
            if (rs.next()) {
                System.out.println("登录成功,用户ID:" + rs.getInt("id"));
            } else {
                System.out.println("用户名或密码错误");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

在这段代码中,我们首先通过 DriverManager.getConnection() 方法获取数据库连接,然后创建了一个预编译的 PreparedStatement 对象,并为其设置了参数,最后执行查询并处理结果。同时,我们使用了 try - with - resources 语句来自动关闭 ConnectionPreparedStatement,避免资源泄漏。

最佳实践

  1. 优先使用 PreparedStatement:无论SQL语句是否包含参数,都强烈推荐使用预编译方式,将安全放在首位。预编译SQL不仅能有效防止SQL注入,还能提升性能,是一种更加可靠的选择。
  2. 参数类型匹配:在使用 setXxx() 方法为占位符设置参数时,务必确保方法中的数据类型与数据库字段类型一致。例如,对于数据库中的 INT 字段,应使用 setInt() 方法进行赋值。
  3. 避免字符串拼接参数:始终通过 setXxx() 方法来设置参数,严格禁止在使用 ? 占位符后,又通过字符串拼接的方式设置参数。这种做法不仅违背了预编译SQL的初衷,还可能引入SQL注入风险。
  4. 资源自动关闭:利用 try - with - resources 语句自动关闭 ConnectionPreparedStatement 等资源,确保在代码执行完毕后,资源能够被正确释放,避免资源泄漏问题的发生。

在实际开发中,建议:

  1. 坚决摒弃静态SQL(Statement + 字符串拼接)的使用方式,全面采用 PreparedStatement 来编写SQL语句,从根本上杜绝SQL注入风险。
  2. 深入理解预编译SQL的核心原理,即“SQL结构固定,参数与语句分离”。这不仅是防御SQL注入的关键所在,也是理解预编译SQL优势的基础。
  3. 在生产环境中,结合连接池(如HikariCP)与预编译SQL一起使用。连接池可以进一步提升数据库连接的复用效率,与预编译SQL的高效执行相结合,能够显著提高系统的整体性能。

预编译SQL防止SQL注入
shengyin714959的博客
12-09 1533
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符SQL 模板,然后在传入参数让数据库自动替换 SQL占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。当我们通过 JDBC 使用执行预编译 SQL 的时候,此处的预编译实际上是假的预编译(至少 MySQL 是如此,不过其他数据库仍待确认),
《网络安全自学教程》- 预编译防止SQL注入的原理分析
wangyuxiang946的博客
08-16 1万+
SQL执行过程,预编译原理,预编译如何防止SQL注入预编译的局限性
SQL预编译-防止sql注入
m0_37695902的博客
06-09 4261
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
SpringBoot防止SQL注入最佳实践:从基础到高级全面指南
最新发布
专注Java开发与国产数据库技术分享,涵盖达梦DM8/OceanBase/GaussDB核心原理与实战,兼及DeepSeek大模型部署、YOLOv11训练等AI技术,为开发者提供从基础到进阶的技术干货。
06-06 1205
SpringBoot防护SQL注入全指南:从基础到高级实践 摘要:本文系统介绍了SpringBoot中防御SQL注入的完整方案。首先解析SQL注入原理及危害,包括数据泄露、篡改等风险。核心防护措施包括:使用预编译语句、正确应用JdbcTemplate和ORM框架(JPA/Hibernate/MyBatis)的参数化查询。高级防护技术涵盖输入验证、存储过程调用和最小权限原则。文章还提供了SQL防火墙集成和数据脱敏等进阶方案,通过详实的代码示例和对比表格,帮助开发者构建多层次的SQL注入防护体系。特别强调防御深
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
热门推荐
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入
预编译防止sql注入
mbtlami
05-17 1万+
使用PreparedStatement 怎么使用PreparedStatement?如何避免SQL注入式攻击?PreparedStatement与Statement有什么区别,有什么样的优势? [TOC] JDBC连接数据库操作步骤 public class JDBCTest { public static void main(String[] args) { ...
web安全开发 - 预编译防止sql注入
davidchang365的专栏
10-23 486
SQL注入是常见的WEB攻击,百度百科上的解释是: “所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。” 举个例子: 使用用户名和密码登陆网站时,用户名填入 123' or 1=1# ,密码也类似 123' or 1=1# 。这时,攻击者是猜测后台的sql命令可能是: SELECT * FROM users ...
【网络安全 | SQL注入】一文讲清预编译防御SQL注入原理
等风来
12-26 7165
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:
python 预编译sql_python pymysql 防止SQL注入 预编译
weixin_34079307的博客
03-01 1173
【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】这里我给出部分我代码的样例,大家可以参考一下。def ShieldIp_query(self, request_data):try:if self.Pd_data_value(request_data, "size"):size = request_data["size"]else:size = 20if self.P...
PDO预编译sql注入
qq_64395221的博客
06-20 1491
刚学web安全的时候学到sql注入防御,那些文章基本上都会说利用pdo预编译就可以近乎完美防御sql注入,或者看到一些渗透经验贴,遇到sql经过预编译的网站师傅们总是会建议赶紧换个站,那么预编译究竟能不能完美防御sql注入,或者说预编译下的sql注入有什么奇技淫巧吗?首先是第一个问题,为什么预编译或者说参数化查询可以防止sql注入呢?我之前看过的一个面经上是这么写的:使用参数化查询数据库服务器不会把参数的内容当作 sql 指令的一部分来执行,是在数据库完成 sql 指令的编译后才套用参数运行。
预编译sql处理(防止sql注入)
LFSenior
05-20 6693
1. 预编译sql处理(防止sql注入) -- 创建数据库 CREATE DATABASE jdbc_demo DEFAULT CHARACTER SET utf8;i -- 创建表 USE jdbc_demo; CREATE TABLE admin(     id INT PRIMARY KEY AUTO_INCREMENT,     userName VARCHA
防止sql注入方法之预编译
波波豆奶
06-08 1176
PreparedStatement的预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 3327
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
使用预编译语句是预防SQL注入的最佳方式
iteye_11305的博客
01-08 3593
sql预编译 定义 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 为什么需要预编译 JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译 预编译阶段可以优化 sql 的执行。 预编译之后的 sql 多数情况下可以直接执行,DB...
[20][04][20] SQL 预编译防止 SQL 注入
安全新司机
01-10 3048
文章目录1. 预编译的作用1.1 提高效率1.2 防止 SQL 注入2. 预编译的实现原理2.1 mysql预编译2.2 mybatis 是如何实现预编译 1. 预编译的作用 1.1 提高效率 数据库接受到 sql 语句之后,需要进行词法和语法解析校验,优化 sql 语句,制定执行计划.这需要花费一些时间.但是很多情况,我们的一条 sql 语句可能会反复执行,或者每次执行的时候只有个别的值不同 (比如 query 的 where 子句值不同,update 的 set 子句值不同,insert 的 val
使用PreperedStatement预编译对象防止sql注入简单代码
sillydog
12-22 2938
package com.fwd.login; import java.sql.Connection; import java.sql.PreparedStatement;//注意导包是sql下的包 import java.sql.ResultSet; import com.fwd.utils.MyJDBCUtils; public class Login { /** * @author
sql 预编译 & 防止sql注入
梦~'
10-10 4433
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
mysql预编译防止注入,关于使用预处理防止sql注入的问题。
weixin_29117805的博客
03-24 170
header("Content-type:text/html charset=utf8");$mysqli=new mysqli('localhost','root','***','test');if($mysqli->connect_errno){die("Connect Error:".$mysqli->connect_error);}$mysqli->set_charset...
使用PrepareStatement接口预编译SQL语句,防止SQL注入攻击
HollowKnight的博客
04-19 1423
package com.usc.demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import java.util.Scanner; /* ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

六月五日

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值